Закон № 187-ФЗ «О безопасности критической информационной инфраструктуры РФ»: объекты, обязанности, ответственность и регуляторная практика

Принятие Федерального закона от 26 июля 2017 года № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (далее — Закон № 187-ФЗ) стало отправной точкой для формирования комплексной правовой модели защиты цифровых основ экономики, государственного управления и общественной безопасности.
Прошло семь лет с момента вступления закона в силу, и сегодня на повестке дня — вопросы системной имплементации норм 187-ФЗ субъектами КИИ, разъяснений регуляторов, а также практики правоприменения, включая проверки и административное преследование.
Какие объекты попадают под действие Закона № 187-ФЗ
Согласно ст. 2 Закона № 187-ФЗ, критическая информационная инфраструктура включает:
• информационные системы (ИС) — например, системы документооборота, обработки медицинских данных, банковские ИС;
• информационно-телекоммуникационные сети (ИТКС) — включая локальные и корпоративные сети;
• автоматизированные системы управления (АСУ) — например, АСУ ТП на предприятиях энергетики, транспорта, ЖКХ.
Закон распространяется на такие сферы, как: здравоохранение, транспорт, связь, финансы, энергетика, оборона, наука, топливно-энергетический комплекс, ЖКХ и иные критически важные отрасли.
Разъяснение понятия объектов КИИ и их разграничения представлено в письме ФСТЭК России от 10.08.2018 № 240/24/1130 «О разъяснении отдельных положений Федерального закона от 26 июля 2017 г. № 187-ФЗ»¹.
Обязанности субъектов КИИ
Субъекты КИИ (организации, владеющие объектами КИИ) обязаны:
• провести категорирование объектов КИИ (в соответствии с Постановлением Правительства РФ от 08.02.2018 № 127²);
• направить уведомление о результатах категорирования в ФСТЭК (форма утверждена Приказом ФСТЭК от 30.08.2018 № 164³);
• внедрить требуемые организационно-технические меры (Приказ ФСТЭК от 25.12.2017 № 235⁴);
• подключиться к системе ГосСОПКА, обеспечить реагирование на инциденты;
• назначить ответственных лиц по защите КИИ;
• вести документацию и быть готовыми к проверкам.
ФСТЭК России выпустила «Методические рекомендации по организации и осуществлению категорирования объектов КИИ» (утв. в 2019 году, размещены на сайте ФСТЭК⁵), в которых содержатся практические пояснения, примеры, типовые ошибки и подходы к анализу ущерба.
Ответственность за нарушение законодательства
Административная
• Ст. 13.12 КоАП РФ — нарушение порядка защиты информации (штраф до 500 000 руб.);
• Ст. 19.7 КоАП РФ — непредоставление сведений в ФСТЭК (штраф до 20 000 руб.);
• Ст. 13.14 КоАП РФ — разглашение охраняемой информации.
Уголовная
• Ст. 274.1 УК РФ — неправомерное вмешательство в функционирование КИИ (до 10 лет лишения свободы);
• Ст. 272 УК РФ — несанкционированный доступ к охраняемой информации;
• Ст. 273 УК РФ — создание и распространение вредоносного ПО, влияющего на КИИ.
ФСТЭК в «Обзоре практики привлечения к административной ответственности за нарушение требований 187-ФЗ» (размещён на сайте ведомства) приводит типовые примеры привлечения организаций к ответственности:
• отсутствие категорирования или неверное присвоение категории;
• непредоставление уведомлений в срок;
• эксплуатация ИС без сертифицированных СЗИ;
• отсутствие разработанных моделей угроз и Положения о защите КИИ.
Методические и вспомогательные документы ФСТЭК
Субъектам КИИ рекомендуется опираться на следующие материалы:
• Письмо ФСТЭК от 29.03.2019 № 240/24/494 «О подходах к идентификации объектов КИИ»;
• Письмо ФСТЭК от 23.04.2019 № 240/24/656 «О порядке подтверждения реализации мер защиты»;
• Чек-листы ФСТЭК по проверке выполнения требований 235-приказа (доступны через личный кабинет ФСТЭК);
• Методика оценки угроз безопасности информации (2021) — используется при разработке модели угроз КИИ⁶;
• Рекомендации по разработке нормативной документации по КИИ — шаблоны Положения о защите, модели угроз, регламента инцидент-менеджмента.
Практика реализации и ключевые проблемы
Системные затруднения, выявленные в ходе надзора и обобщения практики:
• субъекты не способны корректно идентифицировать объект КИИ и отделить его от вспомогательной ИТ-инфраструктуры;
• отсутствуют документы, подтверждающие выбор категории (в частности, расчёт ущерба);
• в регионах распространены случаи полного отсутствия мер защиты или использования несертифицированных средств;
• не выполняется требование по подключению к ГосСОПКА;
• недостаточное кадровое обеспечение (отсутствие обученных специалистов с опытом ИБ в АСУ ТП и ИТКС).
В докладе ФСТЭК за 2023 год подчёркивается, что более 40% выявленных нарушений касаются процедур категорирования, ещё 30% — отсутствия внедрённых организационно-технических мер.
Международные параллели
В ЕС действует Директива NIS2, вводящая обязательную регистрацию субъектов критической инфраструктуры и комплексный риск-ориентированный подход. Для субъектов критической инфраструктуры предусмотрены жёсткие требования по аудиту, инцидент-менеджменту, отчётности.
В США применяется NIST Cybersecurity Framework, при этом операторы критической инфраструктуры обязаны взаимодействовать с CISA — агентством по кибербезопасности. Нарушения влечёт не только санкции, но и приостановление государственных контрактов.
Защита КИИ — это не формальность, а обязанность, имеющая прямое влияние на национальную безопасность. Закон № 187-ФЗ задал фундамент правового регулирования, однако требуются гибкие механизмы его реализации, повышение квалификации персонала и выстраивание диалога между бизнесом, регуляторами и юридическим сообществом.
Своевременное исполнение требований, подкреплённое юридически корректной документацией, сегодня является необходимым условием не только правовой добросовестности, но и устойчивости самого бизнеса.
Сноски
1. Письмо ФСТЭК России от 10.08.2018 № 240/24/1130 // fstec.ru .
2. Постановление Правительства РФ от 08.02.2018 № 127 «Об утверждении Правил категорирования объектов КИИ» // Собрание законодательства РФ. 2018. № 7. Ст. 1030.
3. Приказ ФСТЭК России от 30.08.2018 № 164 «Об утверждении формы уведомления о результатах категорирования объектов КИИ».
4. Приказ ФСТЭК России от 25.12.2017 № 235 «Об утверждении требований к обеспечению безопасности КИИ».
5. Методические рекомендации ФСТЭК России по категорированию объектов КИИ (размещены на официальном сайте: fstec.ru ).
6. Методика определения актуальных угроз безопасности информации (редакция 2021 года) // ФСТЭК России.